的功能是捕捉网络中输入的数据包并提取必要的TCP／IP协议信息。策略与规则控制部分是根据网络管理员定义的策略与规则对数据包做出放行或拦截的判决，策略与规则的区别在于：策略对于任何数据包都适用，一般在缺省情况下使用；规则是网络管理员自行定义的，仅对满足预设条件的数据包适用。转发部分则对放行的数据包予以转发，数据包从一个网络接口进来，获得放行后，将从另外一个网络接口出去。由于防火墙有过滤作用，可以看到，从系统流a防．足墙f简单包过滤
简单包过滤防火墙最初见于路由器，即通过路由器的访问控制列表ACLAccessCo
trolList即可实现。但是，包过滤防火墙对信息流所能达到的控制粒度过粗，网络管理员无法定义合适的规则来控制动态打开端口的应用层协议，如常用的FTP协议，下面将加以说明。不同厂商的防火墙，在规则配置上可能有差别。但最终都落实到对属于某个套接字的数据包将如何处理。按TCP／IP协议，一个完整的套接字包含源IP、源端口、协议、目的IP、目的端口5个元素，于是可以有如下定义。
f定义防火墙的一条规则包含6个元素，即由源IP、源端口、协议、目的IP、目的端口、动作6个元素组成，记作源IP，源端口，协议，目的IP，目的端口，动作，其中，IP可以是单个IP，也可以是子网IP或任意IP；端口可以是单个数值，也可以是任意值；协议是TCP．UDP、ICMP等；动作是指放行Permit或拦截De
y。若需允许某个主机访问某服务器的Web服务，可以使用IPl，A
y，TCP，IP2，80。Permit与IP2，80，TCP，IPI，A
y，Permit两条规则为方便讨论，下文仅指出一个方向上的规则。对于FTP协议，它需要打开两个TCP连接，一个用于控制连接，这时服务器端使用2l端口。另一个用于数据连接，若使用主动模式，服务器端以20端口主动向客户端发起连接；若使用被动模式，服务器端I缶时打开一个端口网络管理员事先无法知道其数值，而且此数值是不断变化的，等待客户端发起连接。对于被动模式的FTP协议，网络管理员容易确定控制连接的规则，即IPl，A
y，TCP，IP2，2l，Permit，却无法为数据连接定义合适的规则，因为服务器端临时打开的端口不可预知，即规则形如IPl，A
y，TCP，IP2，，Permit。以色列CheckPoi
t公司采用的状态检测技术率先解决了这个难题，状态检测防火墙的系统结构见图lb。状态检测防火墙能够深入分析FTP控制连接的数据包，并从中解读出其数据连接临时打开的端口号是什么数值，据此动态增加一条规则使数据连接的信息流得以放行，当数据连接释放后，此规则也随之被删r